Hallo Kai, Donnerstag, 30. September 1999, 11:58:56, schrieb Kai Gülzau: KG> Hallo! KG> Bin dabei ein Linux-Rechner (Suse 6.2 mit 2.2.10) als KG> ISDN-Internet-Gateway einzurichten. KG> Ich teste jetzt seit 1-2 Tagen den Zugang erstmal lokal...und dabei KG> sind ein paar Unklarheiten aufgetaucht... KG> Ich mache ein telnet auf z.B. 141.22.10.10 (FH-HH) KG> ...wegen DoD wird dann ne Verbindung aufgebaut...wunderbar! KG> Nach dem timeout (60sec.) wird die Verbindung wieder getrennt. KG> Versuche ich aber das noch offene telnet wieder zu benutzen wird eine KG> neue Anfrage mit der alten Dyn. IP auf die 141.22.10.10 gemacht...von KG> dort kommt anscheinend nix zurück und telnet hängt und warten und KG> schickt regelmäßig die gleiche Anfrage, selbst wennn der Prozess KG> gekillt wird. KG> Ich dachte das Problem ist mit dem RST-provoking mode gelöst, der ja in KG> Suse 6.2 mit IP_DYNIP=yes aktiviert werden soll. KG> Wie kann ich überprüfen, ob der wirklich aktiviert wurde!? KG> ...die Meldung "shifting bla bla" erscheint nämlich nur beim ersten KG> Verbindungsaufbau. KG> Wäre gut, wenn das Problem lösbar wäre...schließlich soll der Rechner KG> wirklich mal alleine im Keller stehen und keinen Gebühren-GAU KG> verursachen ;) die Aktivierung von IP_DYNIP=yes kann man mit einem Blick in "/proc/sys/net/ipv4/ip_dynaddr" überprüfen. Hier müßte bei SuSE eine 7 stehen. Ob's wirklich funkt, hängt natürlich vom Kernel selbst ab. Aber die SuSE-Kernel haben das eigebaut. In Deinem Fall jedoch, hängt da 'ne Telnet Session mit einer nicht mehr gültigen Absenderadresse (IP) in der Gegend herum. Davon weiß der Kernel natürlich nichts. Es wird also versucht, bei einer erneuten Eingabe im Terminal die Verbindung unter Verwendung der zum Zeitpunkt des Login gültigen Absender-IP herzustellen; was logischerweise im Wald endet. Weil bei neuer Einwahl = neue IP. Wirksame Abhilfe kannst Du hier nur durch das Aufsetzen einer zeitlich begrenzten Firewall-Regel schaffen. Es ist ziemlich unwahrscheinlich, daß Du bei Deiner nächsten Einwahl die selbe IP wie zuvor bekommst und das Linux versucht den "mißlichen" Verbindungsaufbau auch nur über eine bestimmte Zeit bis zu einem TimeOut. Ziel muß es also sein eine Regel aufzusetzen, welche nach dem automatischen Beenden einer Verbindung alle ausgehenden Verbindungswünsche mit der, bis dahin gültigen, jetzt aber nicht mehr gültigen Absender-IP abweist (REJECT ALL) und nach bestimmter Zeit (30 min dürften reichen) wieder gelöscht wird. Weiterführende Literatur hierzu findest Du z.B. unter http://www.little-idiot.de . \\\\|//// \ - - / ( @ @ ) +--------oOOo-(_)-oOOo--------+ | Sven Marth | | marth EDV-Support & Concept | | http://www.marth.com | | mailto:smarth@marth.com | +-----------------Oooo--------+ oooO ( ) ( ) ) / \ ( (_/ \_)